iMCUBA采集DIG和SR66日志的配置和維護指導(dǎo)資料

1、iMC UBA的配置和維護指導(dǎo)iMC UBA的配置和維護指導(dǎo)1摘要1名詞解釋1準(zhǔn)備工作：2組網(wǎng)方式3探針的UBA實現(xiàn)案例3和NAT設(shè)備配合進行用戶行為審計案例9iMC UBA的維護：14日志收集16摘要iMC智能管理中心，是華三推出的下一代業(yè)務(wù)智能管理平臺。它融合了當(dāng)前多個產(chǎn)品，以統(tǒng)一的風(fēng)格提供與網(wǎng)絡(luò)相關(guān)的各類管理、控制、監(jiān)控等功能；同時以全開放的、組件化的架構(gòu)原型，向平臺及其承載業(yè)務(wù)提供分布式、分級式交互管理特性；并為業(yè)務(wù)軟件的下一代產(chǎn)品提供最可靠的、可擴展的、高性能的業(yè)務(wù)平臺。iMC UBA用戶行為審計組件是一套用戶上網(wǎng)日志審計系統(tǒng)，能夠處理包含NAT日志、FLOW日志、NetStream

2、 V5日志、DIG日志等多種日志類型；支持對用戶上網(wǎng)行為進行查詢和審計；當(dāng)和DIG探針采集器配合時，可以基于URL和Web站點審計用戶的上網(wǎng)行為，可以審計用戶用FTP傳輸文件的行為，還可以審計用戶的Email信息；用戶還可以自定義日志審計任務(wù)，通過審計任務(wù)用戶可以持續(xù)審計自己關(guān)注的上網(wǎng)行為。當(dāng)UBA組件和iMC UAM（用戶接入管理）組件一起安裝時，UBA能夠和iMC用戶接入管理組件實現(xiàn)聯(lián)動，實現(xiàn)基于用戶名的審計，替代基于IP地址審計用戶上網(wǎng)行為的方式。名詞解釋主服務(wù)器：部署iMC平臺的服務(wù)器；從服務(wù)器：通過Web登錄iMC配置臺，將所選組件分步式部署在非主臺服務(wù)器的服務(wù)器；用戶行為審計：對用

3、戶上網(wǎng)過程中以何地址、何端口訪問了哪里等進行記錄，如果是NAT日志可以審計到NAT前后的地址、端口，如果何DIG配合可以審計到網(wǎng)頁，同時對應(yīng)用FTP、HTTP、MAIL進行審計；流量分析：一般部署在網(wǎng)絡(luò)出口，主要關(guān)注用戶網(wǎng)絡(luò)的實時帶寬大小，同時涵蓋了這些流量信息中的應(yīng)用區(qū)分，為優(yōu)化網(wǎng)絡(luò)提供幫助，主要關(guān)注實時的信息多一些，報表豐富；數(shù)據(jù)庫空間使用率：在iMC平臺安裝好以后，UBA或者NTA會自動創(chuàng)建數(shù)據(jù)庫，在這個數(shù)據(jù)庫中存放從設(shè)備或者探針發(fā)來經(jīng)過分析處理后的日志文件，在此數(shù)據(jù)庫空間中以存放的日志占用空間與目前數(shù)據(jù)庫申請的空間的比值就是數(shù)據(jù)庫空間使用率，其值會隨著保存日志的增多而變大，當(dāng)數(shù)據(jù)庫空間

4、用完的時候，數(shù)據(jù)庫會進行自動擴張，從而間接降低磁盤數(shù)據(jù)庫空間使用率，用戶存放新的日志數(shù)據(jù)；磁盤空間使用率：數(shù)據(jù)庫所在磁盤已使用空間與總空間的比值，隨著數(shù)據(jù)庫空間的不斷增長而變大，單純的刪除數(shù)據(jù)庫空間的表不會降低磁盤空間使用率，只有將數(shù)據(jù)庫中的表刪除后，并進行數(shù)據(jù)庫收縮才能夠降低磁盤空間使用率；準(zhǔn)備工作：概覽：iMC平臺包含了網(wǎng)管的功能，根據(jù)用戶應(yīng)用的需要可以將UAM、EAD、UBA、NTA等組件跟平臺進行集中式部署，也可以分步式實現(xiàn)，即為了功能的明確和性能的要求，可以對部分組件采用分步式的方式來不屬到其他的服務(wù)器上。例如UBA、NTA組件可以通過分步式部署來實現(xiàn)，這種分步式部署最多支持5臺服務(wù)

5、器，部署方法是將用戶行為審計組件或流量分析組件部署在主服務(wù)器上，即和iMC平臺部署在一起，而將用戶行為審計服務(wù)器組件或流量分析服務(wù)器組件部署到從服務(wù)器上，要求每臺服務(wù)器只能部署一個用戶行為審計或/和流量分析服務(wù)器組件；本案例以集中式部署為例進行說明，同時兼顧探針和SR66的NAT日志審計，默認(rèn)平臺和UBA都已部署完成，且能夠自動啟動。1、 硬件準(zhǔn)備平臺（以5000個用戶的平臺推薦配置，具體參考對應(yīng)組件的版本說明書）：PC服務(wù)器-HP ML350G4p-2*Xeon 3.0GHz-2G-6*72G(10K) SCSI RAID5-軟驅(qū)-CDR-集成網(wǎng)卡+100&1000M網(wǎng)卡-642 R

6、AID卡(192M)-15"-塔式-3年5*8服務(wù)-英文資料-725W-鍵/鼠探針服務(wù)器：要求探針服務(wù)器雙網(wǎng)卡（具體參考對應(yīng)組件的版本說明書），使用的操作系統(tǒng)為Linux ES3.0，2、 軟件安裝操作系統(tǒng)：iMC支持Windows 2000SP4 Server、Windows 2003SP1 Server及以上版本，數(shù)據(jù)庫支持SQL Server 2000SP4、SQL Server 2005iMC版本：目前最新的版本為iMC PLAT 3.20-E2403、iMC UAM 3.20-E0401P05、iMC EAD 3.20-E0401P05、iMC-UBA-3.20-B0401

7、P01，如果是山西電力用戶使用iMC UBA組件，還需要打上如下兩個補?。篿MC UBA 3.20-B0401L02、iMC UBA 3.20-B0401L03；探針版本：操作系統(tǒng)為Linux ES3.0，版本為：iMCh3cprobeE0401，其中包括SingleCPU和MultipleCPU兩種，分別表示工作在單核和多核系統(tǒng)下的探針采集器；組網(wǎng)方式1、 探針方式組網(wǎng)2、 和NAT設(shè)備配合組網(wǎng)探針的UBA實現(xiàn)案例1、 操作系統(tǒng)的安裝安裝方法參見Linux ES3.0的安裝指導(dǎo)書；2、 探針采集器的安裝對于iMCh3cprobeE0401探針的安裝之前，要先確定所進Linux ES3.0系統(tǒng)

8、是多核還是單核，安裝完Linux ES3.0默認(rèn)所進系統(tǒng)為多核操作系統(tǒng)，其命名方式為：Redhat Enterprise Linux Es（2.4.21-*.Elsmp），單核系統(tǒng)的名稱為：Redhat Enterprise Linux Es-up（2.4.21-*.El），以多核操作系統(tǒng)為例，登錄用戶權(quán)限為root，探針的安裝方法如下：a、 首先在登錄探針服務(wù)器的時候選擇多核操作系統(tǒng)，登錄權(quán)限為root，同時通過ifconfig的命令查看當(dāng)前的網(wǎng)卡的名稱，并規(guī)劃好哪一個網(wǎng)卡作為采集口，連接鏡像設(shè)備，哪一個網(wǎng)卡作為管理口連接iMC UBA服務(wù)器。本例以eth0作為采集口，eth1作為管理口（有

9、的服務(wù)器網(wǎng)卡命名為en0和en1等）；b、 將多核探針以binary的方式上傳到探針服務(wù)器上，假設(shè)掛載的位置為：h3cprobeMultipleCPU，然后進入探針安裝目錄：#cd h3cprobeMultipleCPUh3cprobe目錄下有探針采集器的安裝文件probe.tar.gz和安裝腳本probe_installer.sh；c、 執(zhí)行probe_installer.sh腳本，提示信息如下：安裝程序默認(rèn)將采集器安裝到/usr/local/目錄下，直接回車即可進行安裝。用戶可以根據(jù)實際情況輸入其他絕對路行進行安裝。d、 選擇采集器所在服務(wù)器的以太網(wǎng)卡名稱，本例中選擇采集網(wǎng)卡為eth0：輸

10、入采集器網(wǎng)卡名稱之后，系統(tǒng)會提示用戶是否增加其他網(wǎng)卡作為采集器，本例不增加其他網(wǎng)卡，輸入“n”后提示如下：注：在詢問是否重起服務(wù)器的時候，輸入“y”，必須重起服務(wù)器采集器才能正常工作。采集器會在服務(wù)器重起時自動運行，使用ps ax|grep probe命令查看probe進程是否存在，如果存在表示采集器已經(jīng)啟動。3、 iMC UBA服務(wù)器的配置默認(rèn)iMC平臺和UBA組件已經(jīng)部署，并且能夠正常啟動，然后通過web界面登錄iMC配置管理平臺，登錄方法是http:/localhost:8080/imc。a、 在iMC UBA服務(wù)器上開啟FTP SERVER服務(wù)，或者安裝類似Serv U的ftp軟件，用

11、戶接收從探針服務(wù)器發(fā)來的dig日志信息。不建議使用3CDaemon軟件作為ftp接收軟件，原因是該軟件具有syslog接收功能，與iMC平臺有端口沖突的問題；b、 增加采集器：進入如下位置，選擇增加，并按照如下截圖進行采集器配置：如果要只對某些內(nèi)網(wǎng)網(wǎng)段進行采集，可以設(shè)置過濾，即增加內(nèi)網(wǎng)信息。c、 服務(wù)配置：進入“業(yè)務(wù) >> 流量分析與審計 >> 服務(wù)器管理”，輸入FTP的目錄、用戶名、密碼，注意目錄需要輸入絕對路徑，同時選擇該服務(wù)對應(yīng)的采集器，點擊確定，如下圖所示：d、 下發(fā)配置：進入“業(yè)務(wù) >> 流量分析與審計 >> 服務(wù)器管理”，在“服務(wù)器列

12、表”中選擇配置下發(fā)，出現(xiàn)如下圖示時表示下發(fā)成功：下發(fā)成功的截圖如下：e、 配置常用審計模版：以審計web應(yīng)用為例，配置模版如下：f、 點擊web_audit的審計，結(jié)果輸出如下：同理，還可以創(chuàng)建基于MAIL、FTP的應(yīng)用審計任務(wù)，如下截圖分別是基于MAIL應(yīng)用和基于FTP應(yīng)用的審計結(jié)果：和NAT設(shè)備配合進行用戶行為審計案例設(shè)備側(cè)配置：1、 配置設(shè)備snmp參數(shù)：snmp-agentsnmp-agent sys_info version allsnmp-agent community read publicsnmp-agent community write private2、配置發(fā)送日志的版本

13、、設(shè)備地址、接收服務(wù)器地址和端口：userlog flow export version 3 /配置發(fā)送日志版本userlog flow export source-ip /配置發(fā)送設(shè)備源地值，同添加iMC平臺的設(shè)備地址一致userlog flow export slot 0 host 2 9020 /配置接收日志的iMC UBA服務(wù)器地址和端口userlog flow export slot 3 host 9020 /配置接收日志的iMC UBA服務(wù)器地址和端口3、配置日志生成機制：session log bytes-a

14、ctive 1 /配置輸出會話日志的字節(jié)數(shù)流量閾值session log time-active 10 /配置輸出會話日志的時間閾值4、 在外網(wǎng)NAT端口使能日志統(tǒng)計功能：session log enable inbound /使能入方向上的NAT日志統(tǒng)計session log enable outbound /使能出方向上的NAT日志統(tǒng)計iMC UBA側(cè)配置：說明：由于iMC UBA組件默認(rèn)不對二進制日志進行處理，所以需要修改配置文件，使能iMC UBA處理NAT日志，方法是：將文件$imcunbaconfsysreceiver.xml中的紅色0修改為1，然后保存，并重起iMC服務(wù)即可： &

15、lt;!-二進制日志的處理方式，包括三個選項：0-不處理，1-處理成NAT1.0日志，2-處理成FLOW1.0日志 -> <!-缺省是0-不處理 -> <BinaryLogProcessMode>0</BinaryLogProcessMode>1、 添加NAT發(fā)送設(shè)備，添加設(shè)備的時候使用的SNMP模版要與設(shè)備側(cè)配置一致：下圖顯示的是在iMC平臺添加成功后的NAT日志設(shè)備列表：2、 在iMC UBA中增加該設(shè)備為NAT日志發(fā)送設(shè)備，如下圖所示：3、 進行iMC UBA服務(wù)配置，即在用戶行為審計服務(wù)中將NAT設(shè)備添加為該服務(wù)的日志發(fā)送設(shè)備：4、 下發(fā)配置。

16、在服務(wù)器管理中選中對應(yīng)的服務(wù)，點擊配置下發(fā)，截圖如下：下發(fā)成功的截圖如下：5、 創(chuàng)建NAT日志審計任務(wù)，用于審計剛才添加的NAT設(shè)備所發(fā)送的NAT日志，通常在下發(fā)配置后十分鐘就能夠在創(chuàng)建的審計任務(wù)中看到結(jié)果，創(chuàng)建審計任務(wù)的截圖如下：6、 點擊剛剛創(chuàng)建的NAT審計任務(wù)，輸入如下審計結(jié)果：iMC UBA的維護：引子：iMC UBA&NTA對日志處理和最后的呈現(xiàn)及審計，日志也有最初的日志生成、發(fā)送、接收、處理、存儲、顯示這些過程，就象流水一樣，可能會由于某一個環(huán)節(jié)的原因而被截流，呈現(xiàn)給用戶的就是看不到想要看的日志或者流量信息報表，所以，在回溯原因的時候，我們也就使用這種環(huán)節(jié)定位的思路來分段檢

17、查，直至定位最終的原因，并解決它。以下就iMC UBA看不到日志為起點，分探針和設(shè)備兩種情況，以環(huán)節(jié)檢查的思路來溯源定位：1、 探針方式實現(xiàn)iMC UBA而看不到日志的定位思路：第一環(huán)：日志是否生成查看probe進程是否運行，方法是通過命令：ps ef|grep probe如果探針進程沒有運行，可能原因是安裝探針不對，即單核系統(tǒng)安裝了多核探針，或者多核系統(tǒng)安裝了單核探針，也可能是安裝探針后沒有重新啟動服務(wù)器；如果探針進程運行正常，那么看/data/目錄下是否時刻有日志生成，如果沒有可能原因是在iMC UBA服務(wù)配置中沒有進行配置下發(fā)，請進行配置下發(fā)；第二環(huán)：iMC UBA服務(wù)器上能否看到探針發(fā)

18、來的日志查看方法是查看iMC UBA服務(wù)器上配置的ftp目錄下是否實時有日志從探針服務(wù)器傳過來；如果沒有日志傳過來，請檢查ftp server是否啟動，如果啟動請檢查ftp給探針服務(wù)器分配的用戶是否具有寫權(quán)限，中間是否有防火墻將日志給阻斷了，簡單方法是從探針服務(wù)器以ftp登錄到iMC UBA服務(wù)器并上傳文件檢查一下，如果不成功以以上方法檢查一下。如果OK則進入下一個環(huán)節(jié)；第三環(huán)：日志是否被處理檢查方法是$imcdataprocessorData（新版本為：$imcdataprocessorData）目錄下是否有日志不斷更新，如果沒有可能原因是iMC UBA的processor.exe進程沒有起

19、來，檢查iMC監(jiān)控代理是否有沒有起來的進程存在；第四環(huán)：日志是否被存儲日志最終的歸屬地就是終于數(shù)據(jù)庫，目前iMC UBA只支持SQL數(shù)據(jù)庫，也就是查看SQL Server數(shù)據(jù)庫中是否有對應(yīng)地日志表生成。檢查辦法是登錄SQL Server地企業(yè)管理器，選擇unba_slave數(shù)據(jù)庫，打開表，查看所有表中是否有如下格式地表生成：tbl_nets_08*（*代表當(dāng)前日期）表生成，如果啟用地摘要日志分析，還有如下格式地表生成：tbl_ftps_08*，tbl_mail_08*，tbl_web_08*；如果沒有，可能是日志被丟棄或者數(shù)據(jù)庫有問題，這是不可能的，因為之前的三個環(huán)節(jié)都OK：）外一環(huán)：以上四個

20、環(huán)節(jié)都OK，但是還不能審計日志如果這時還不能審計日志，可能是探針服務(wù)器的時間與iMC UBA服務(wù)器的時間不一致，請檢查確認(rèn)修改。經(jīng)過以上五個環(huán)節(jié)后，用戶按照自己的需求進行審計的時候，日志就會乖乖的出來了。建議處理問題的時候可以采用逆向的方式來排查。2、 設(shè)備直接向iMC UBA發(fā)送日志處理方式同探針，只是日志生成有設(shè)備自己來完成，不需要探針來實現(xiàn)，環(huán)節(jié)如下：第一環(huán)：日志是否生成查看方法是在設(shè)備側(cè)display日志發(fā)送統(tǒng)計，看是否向iMC UBA服務(wù)器發(fā)送日志的統(tǒng)計，如果沒有，請檢查該設(shè)備的日志發(fā)送配置是否正確，如是否配置發(fā)送目的地址、端口，是否使能日志統(tǒng)計等；如果OK，進入下一環(huán)節(jié)；第二環(huán)：日

21、志是否被接收查看方法，檢查iMC UBA服務(wù)器目錄$imcdata recieverData下是否有日志更新，如果沒有，日志可能是被阻塞或者丟棄，阻塞的可能是因為iMC UBA和日志生成設(shè)備之前有防火墻沒有配置正確的acl，或者iMC UBA的9020、9021端口被占用，排除阻斷可能，那就是丟棄了，這個原因可能就是添加設(shè)備的地址和設(shè)備發(fā)送日志的源地值不同，確認(rèn)方法是抓包看一下發(fā)往iMC UBA服務(wù)器的源IP是否與添加設(shè)備的IP地址相同，如果不同刪除設(shè)備重新添加，或者更改設(shè)備配置的日志發(fā)送地址；第三環(huán)：日志是否被處理檢查方法是$imcdataprocessorData目錄下是否有日志不斷更新，如果沒有可能原因是iMC UBA的processor.exe進程沒有起來，檢查iMC監(jiān)控代理是否有沒有起來的進程存在；第四環(huán)：日志是否被存儲日志最終的歸屬地就是終于數(shù)據(jù)庫，目前iMC UBA只支持SQL數(shù)